CIPP-E 문제 1
대본
다음 질문에 답하려면 다음을 사용하세요.
오랜 기간 Bedrock Insurance의 고객이었던 루이스는 몇 달 전에 사소한 교통사고를 당했습니다.
다친 사람은 없었지만, 루이스는 Accidentable이라는 회사에서 개인 상해 보상금을 받도록 도와주겠다는 문자 메시지와 전화에 시달리고 있습니다. 루이스는 보험 회사들이 고객 정보를 제3자에게 판매한다는 이야기를 듣고, Accidentable이 Bedrock Insurance에서 자신의 정보를 빼돌렸을 것이라고 확신합니다.
루이스는 베드록으로부터 더 많은 마케팅 정보를 받아, 자사의 보험 상품 전체를 판매하려고 노력했습니다.
이에 당황한 루이스는 인터넷 가격 비교 사이트를 찾아보기 시작했고, 오랫동안 베드록의 단골 고객이었던 다른 보험사들이 베드록보다 훨씬 저렴한 보험료를 제시하는 것을 보고 충격을 받았습니다. 베드록 보험 갱신 시기가 다가오자, 그는 잔트럼 보험으로 바꾸기로 결심했습니다.
루이스는 새 보험을 활성화하기 위해 무사고 보상금, 차량 및 운전 경력에 대한 정보를 잔트럼에 제공해야 합니다. GDPR에 따른 자신의 권리를 조사한 후, 그는 베드록에 자신의 정보를 잔트럼으로 직접 이전해 달라고 요청하는 서신을 보냈습니다. 또한 이 기회를 빌려 베드록이 자신의 개인 정보를 마케팅 목적으로 사용하는 것을 중단해 달라고 요청했습니다.
베드록은 루이스에게 무사고 증명서의 PDF와 XML(확장 가능 마크업 언어) 버전을 제공하지만, 기술적으로 실행 가능하지 않기 때문에 루이스의 데이터를 잔트럼으로 직접 전송할 수 없다고 말한다.
베드록은 또한 루이스의 계약서에 루이스가 자신의 데이터를 마케팅 목적으로 사용할 수 있다는 조항이 포함되어 있었다고 설명했습니다. 베드록에 따르면, 루이스는 이 사실을 바꾸기에는 너무 늦었다고 합니다. 루이스는 계약서에 법률 용어가 잔뜩 적혀 있고 매우 혼란스러웠던 문구를 떠올리며 분노합니다.
그 사이 루이스는 여전히 액시던터블 보험(Accidentable Insurance)으로부터 원치 않는 전화를 받고 있습니다. 그는 액시던터블에 자신의 정보를 제공한 보험사의 이름을 묻는 편지를 보냅니다. 그는 액시던터블 측이 자신의 데이터를 불법적으로 사용하고 있다고 생각하여 데이터 보호 기관에 신고할 계획이라고 경고합니다. 편지에는 액시던터블 측에서 자신의 데이터를 어떤 식으로든 사용하는 것을 원하지 않는다는 내용이 담겨 있습니다.
Accidentable의 답변서는 루이스의 의심을 확증합니다. Accidentable은 Bedrock Insurance의 완전 자회사이며, 루이스가 사고 보험금 청구서를 제출한 직후 Bedrock으로부터 루이스의 사고 관련 정보를 받았습니다. Accidentable은 루이스에게 GDPR 위반이 없었다고 확언했습니다. 루이스의 계약에는 사업 목적으로 Bedrock 계열사와 정보를 공유하는 데 동의하는 조항이 포함되어 있었기 때문입니다.
루이는 베드록이 자신을 대하는 방식에 혐오감을 느껴, 베드록에 편지를 써서 자신의 모든 정보를 컴퓨터 시스템에서 삭제해 달라고 요구합니다.
루이스가 자신의 데이터 사용을 제한하는 권리를 행사한 후, Accidentable이 이를 따르기를 거부할 수 있는 근거는 무엇입니까?
다음 질문에 답하려면 다음을 사용하세요.
오랜 기간 Bedrock Insurance의 고객이었던 루이스는 몇 달 전에 사소한 교통사고를 당했습니다.
다친 사람은 없었지만, 루이스는 Accidentable이라는 회사에서 개인 상해 보상금을 받도록 도와주겠다는 문자 메시지와 전화에 시달리고 있습니다. 루이스는 보험 회사들이 고객 정보를 제3자에게 판매한다는 이야기를 듣고, Accidentable이 Bedrock Insurance에서 자신의 정보를 빼돌렸을 것이라고 확신합니다.
루이스는 베드록으로부터 더 많은 마케팅 정보를 받아, 자사의 보험 상품 전체를 판매하려고 노력했습니다.
이에 당황한 루이스는 인터넷 가격 비교 사이트를 찾아보기 시작했고, 오랫동안 베드록의 단골 고객이었던 다른 보험사들이 베드록보다 훨씬 저렴한 보험료를 제시하는 것을 보고 충격을 받았습니다. 베드록 보험 갱신 시기가 다가오자, 그는 잔트럼 보험으로 바꾸기로 결심했습니다.
루이스는 새 보험을 활성화하기 위해 무사고 보상금, 차량 및 운전 경력에 대한 정보를 잔트럼에 제공해야 합니다. GDPR에 따른 자신의 권리를 조사한 후, 그는 베드록에 자신의 정보를 잔트럼으로 직접 이전해 달라고 요청하는 서신을 보냈습니다. 또한 이 기회를 빌려 베드록이 자신의 개인 정보를 마케팅 목적으로 사용하는 것을 중단해 달라고 요청했습니다.
베드록은 루이스에게 무사고 증명서의 PDF와 XML(확장 가능 마크업 언어) 버전을 제공하지만, 기술적으로 실행 가능하지 않기 때문에 루이스의 데이터를 잔트럼으로 직접 전송할 수 없다고 말한다.
베드록은 또한 루이스의 계약서에 루이스가 자신의 데이터를 마케팅 목적으로 사용할 수 있다는 조항이 포함되어 있었다고 설명했습니다. 베드록에 따르면, 루이스는 이 사실을 바꾸기에는 너무 늦었다고 합니다. 루이스는 계약서에 법률 용어가 잔뜩 적혀 있고 매우 혼란스러웠던 문구를 떠올리며 분노합니다.
그 사이 루이스는 여전히 액시던터블 보험(Accidentable Insurance)으로부터 원치 않는 전화를 받고 있습니다. 그는 액시던터블에 자신의 정보를 제공한 보험사의 이름을 묻는 편지를 보냅니다. 그는 액시던터블 측이 자신의 데이터를 불법적으로 사용하고 있다고 생각하여 데이터 보호 기관에 신고할 계획이라고 경고합니다. 편지에는 액시던터블 측에서 자신의 데이터를 어떤 식으로든 사용하는 것을 원하지 않는다는 내용이 담겨 있습니다.
Accidentable의 답변서는 루이스의 의심을 확증합니다. Accidentable은 Bedrock Insurance의 완전 자회사이며, 루이스가 사고 보험금 청구서를 제출한 직후 Bedrock으로부터 루이스의 사고 관련 정보를 받았습니다. Accidentable은 루이스에게 GDPR 위반이 없었다고 확언했습니다. 루이스의 계약에는 사업 목적으로 Bedrock 계열사와 정보를 공유하는 데 동의하는 조항이 포함되어 있었기 때문입니다.
루이는 베드록이 자신을 대하는 방식에 혐오감을 느껴, 베드록에 편지를 써서 자신의 모든 정보를 컴퓨터 시스템에서 삭제해 달라고 요구합니다.
루이스가 자신의 데이터 사용을 제한하는 권리를 행사한 후, Accidentable이 이를 따르기를 거부할 수 있는 근거는 무엇입니까?
CIPP-E 문제 2
대본
다음 질문에 답하려면 다음을 사용하세요.
잭은 다국적 제약 회사의 아일랜드 지사에서 약물감시 운영 전문가로 COVID-19 관련 임상 시험에 참여했습니다. 온보딩 과정의 일환으로 잭은 개인정보 보호 교육을 받았습니다. 그는 업무 과정에서 기밀 환자 데이터를 처리해야 하지만, 어떠한 경우에도 업무 관련 (요청) 수행 이외의 다른 용도로는 이 데이터를 사용할 수 없다는 내용을 명시적으로 전달받았습니다. 이는 잭이 교육 수료 후 서명한 개인정보 보호정책에도 명시되어 있습니다.
몇 달간 근무 후, 잭은 환자와 전화로 말다툼을 했습니다. 화가 난 그는 나중에 환자의 이름과 가족 정보를 소셜 미디어 웹사이트에 비하하는 댓글과 함께 게시했습니다. 이 사실이 그의 약물 감시 감독관에게 발각되자 잭은 즉시 해고되었습니다. 잭의 변호사는 회사에 서한을 보내 해고가 과도한 제재이며, 잭이 14일 이내에 복직되지 않을 경우 회사는 회사를 상대로 법적 절차를 밟을 수밖에 없다고 주장했습니다. 이 서한에는 잭이 보낸 데이터 접근 요청이 첨부되어 있었는데, "잭이 주고받았거나 받은 내부 이메일 또는 내용상 잭을 직간접적으로 식별할 수 있는 이메일을 포함한 모든 개인 정보"의 사본을 요청하는 내용이었습니다. 잭은 이메일과 관련하여 경영진 구성원 6명의 받은 편지함 접근 권한을 요구했습니다.
잭의 잊혀져 달라는 요청에 회사는 어떻게 대응해야 할까?
다음 질문에 답하려면 다음을 사용하세요.
잭은 다국적 제약 회사의 아일랜드 지사에서 약물감시 운영 전문가로 COVID-19 관련 임상 시험에 참여했습니다. 온보딩 과정의 일환으로 잭은 개인정보 보호 교육을 받았습니다. 그는 업무 과정에서 기밀 환자 데이터를 처리해야 하지만, 어떠한 경우에도 업무 관련 (요청) 수행 이외의 다른 용도로는 이 데이터를 사용할 수 없다는 내용을 명시적으로 전달받았습니다. 이는 잭이 교육 수료 후 서명한 개인정보 보호정책에도 명시되어 있습니다.
몇 달간 근무 후, 잭은 환자와 전화로 말다툼을 했습니다. 화가 난 그는 나중에 환자의 이름과 가족 정보를 소셜 미디어 웹사이트에 비하하는 댓글과 함께 게시했습니다. 이 사실이 그의 약물 감시 감독관에게 발각되자 잭은 즉시 해고되었습니다. 잭의 변호사는 회사에 서한을 보내 해고가 과도한 제재이며, 잭이 14일 이내에 복직되지 않을 경우 회사는 회사를 상대로 법적 절차를 밟을 수밖에 없다고 주장했습니다. 이 서한에는 잭이 보낸 데이터 접근 요청이 첨부되어 있었는데, "잭이 주고받았거나 받은 내부 이메일 또는 내용상 잭을 직간접적으로 식별할 수 있는 이메일을 포함한 모든 개인 정보"의 사본을 요청하는 내용이었습니다. 잭은 이메일과 관련하여 경영진 구성원 6명의 받은 편지함 접근 권한을 요구했습니다.
잭의 잊혀져 달라는 요청에 회사는 어떻게 대응해야 할까?
CIPP-E 문제 3
다음 중 GDPR 준수에서 면제될 가능성이 가장 높은 기관은 어디입니까?
CIPP-E 문제 4
대본
다음 질문에 답하려면 다음을 사용하세요.
안나와 프랭크는 둘 다 그랜체스터 대학교에서 근무하고 있습니다. 안나는 데이터 보호를 담당하는 변호사이고, 프랭크는 공학과 강사입니다. 그랜체스터 대학교는 다음과 같은 다양한 유형의 기록을 보관합니다.
* 이름, 학번, 집 주소, 대학 입학 전 정보, 대학 출석 및 성적 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
* 자서전적 자료(커리큘럼, 전문가 연락처 파일, 학생 평가 및 기타 관련 교육 파일 등)를 포함한 교직원 기록.
* 출생지, 출생 연도, 입학일, 학위 수여일을 포함한 동문 기록.
이러한 기록은 Granchester의 동문 포털을 통해 등록한 졸업생에게만 제공됩니다.
* 교육부 기록은 특정 인구통계학적 집단(예: 1세대 학생)의 평균적인 진학률을 보여줍니다. 이 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
* 대학은 보안 정책에 따라 모든 개인 데이터 기록을 전송 중 및 저장 중에 암호화합니다.
프랭크는 수업 개선을 위해 공대 학생들의 학업 성취도가 교육부의 기대치와 어떻게 비교되는지 조사하고자 합니다. 그는 안나의 데이터 보호 교육 과정에 참석했으며, 목표 달성에 필요한 것 이상의 개인 정보를 사용해서는 안 된다는 것을 알고 있습니다. 그는 이전에 다녔던 학교, 처음 받은 성적, 현재 받은 성적, 그리고 첫 대학 진학 등 일부 학생 데이터만 내보내는 프로그램을 개발했습니다. 그는 이 기록을 학생 개인 단위로 보관하고자 합니다.
안나의 훈련을 염두에 두고, 프랭크는 학생 번호를 알고리즘을 통해 처리하여 여러 참조 번호로 변환합니다. 그는 매번 동일한 알고리즘을 사용하여 시간이 지남에 따라 각 기록을 업데이트합니다.
안나의 업무 중 하나는 GDPR에서 요구하는 처리 활동 기록을 작성하는 것입니다. GDPR에서 요구하는 대로 안나가 이메일 알림을 받은 후, 프랭크는 안나에게 자신의 성과 데이터베이스에 대한 정보를 알려줍니다.
앤은 프랭크에게 개인 정보의 최소화뿐 아니라, 대학 측에서 기존 데이터의 새로운 활용이 허용되는지 확인해야 한다고 설명합니다. 또한 GDPR에 따라 데이터 처리 전에 위험 분석을 수행해야 할 수도 있다고 생각합니다. 앤은 추가 조사를 마친 후 프랭크와 이 문제에 대해 더 자세히 논의하기로 했습니다.
프랭크는 여가 시간에 분석 작업을 하고 싶어서 암호화되지 않은 집 노트북으로 데이터를 옮깁니다. 하지만 안타깝게도 프랭크가 노트북을 대학교에 가져가려다가 기차에서 잃어버리고 맙니다. 프랭크는 그날 안나를 만나 호환 처리 방식에 대해 논의해야 합니다. 보안 사고를 보고해야 한다는 것을 알고 있었기에, 분실된 노트북에 대해서도 안나에게 동시에 알리기로 했습니다.
안나는 이 상황에서는 위험 분석이 필요하지 않다고 생각합니까?
다음 질문에 답하려면 다음을 사용하세요.
안나와 프랭크는 둘 다 그랜체스터 대학교에서 근무하고 있습니다. 안나는 데이터 보호를 담당하는 변호사이고, 프랭크는 공학과 강사입니다. 그랜체스터 대학교는 다음과 같은 다양한 유형의 기록을 보관합니다.
* 이름, 학번, 집 주소, 대학 입학 전 정보, 대학 출석 및 성적 기록, 특수 교육 요구 사항 및 재정 정보를 포함한 학생 기록.
* 자서전적 자료(커리큘럼, 전문가 연락처 파일, 학생 평가 및 기타 관련 교육 파일 등)를 포함한 교직원 기록.
* 출생지, 출생 연도, 입학일, 학위 수여일을 포함한 동문 기록.
이러한 기록은 Granchester의 동문 포털을 통해 등록한 졸업생에게만 제공됩니다.
* 교육부 기록은 특정 인구통계학적 집단(예: 1세대 학생)의 평균적인 진학률을 보여줍니다. 이 기록에는 이름이나 식별 번호가 포함되어 있지 않습니다.
* 대학은 보안 정책에 따라 모든 개인 데이터 기록을 전송 중 및 저장 중에 암호화합니다.
프랭크는 수업 개선을 위해 공대 학생들의 학업 성취도가 교육부의 기대치와 어떻게 비교되는지 조사하고자 합니다. 그는 안나의 데이터 보호 교육 과정에 참석했으며, 목표 달성에 필요한 것 이상의 개인 정보를 사용해서는 안 된다는 것을 알고 있습니다. 그는 이전에 다녔던 학교, 처음 받은 성적, 현재 받은 성적, 그리고 첫 대학 진학 등 일부 학생 데이터만 내보내는 프로그램을 개발했습니다. 그는 이 기록을 학생 개인 단위로 보관하고자 합니다.
안나의 훈련을 염두에 두고, 프랭크는 학생 번호를 알고리즘을 통해 처리하여 여러 참조 번호로 변환합니다. 그는 매번 동일한 알고리즘을 사용하여 시간이 지남에 따라 각 기록을 업데이트합니다.
안나의 업무 중 하나는 GDPR에서 요구하는 처리 활동 기록을 작성하는 것입니다. GDPR에서 요구하는 대로 안나가 이메일 알림을 받은 후, 프랭크는 안나에게 자신의 성과 데이터베이스에 대한 정보를 알려줍니다.
앤은 프랭크에게 개인 정보의 최소화뿐 아니라, 대학 측에서 기존 데이터의 새로운 활용이 허용되는지 확인해야 한다고 설명합니다. 또한 GDPR에 따라 데이터 처리 전에 위험 분석을 수행해야 할 수도 있다고 생각합니다. 앤은 추가 조사를 마친 후 프랭크와 이 문제에 대해 더 자세히 논의하기로 했습니다.
프랭크는 여가 시간에 분석 작업을 하고 싶어서 암호화되지 않은 집 노트북으로 데이터를 옮깁니다. 하지만 안타깝게도 프랭크가 노트북을 대학교에 가져가려다가 기차에서 잃어버리고 맙니다. 프랭크는 그날 안나를 만나 호환 처리 방식에 대해 논의해야 합니다. 보안 사고를 보고해야 한다는 것을 알고 있었기에, 분실된 노트북에 대해서도 안나에게 동시에 알리기로 했습니다.
안나는 이 상황에서는 위험 분석이 필요하지 않다고 생각합니까?
CIPP-E 문제 5
온라인 회사의 개인정보 보호 관행은 다양한 서비스를 제공하기 때문에 제각각입니다. 모든 정책을 설명하면 이해하기 어려워질 것이라는 우려를 어떻게 가장 잘 해결할 수 있을까요?